SentinelOne-EDR-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie SentinelOne-EDR-Logs erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel SENTINEL_EDR.
SentinelOne EDR konfigurieren
- Melden Sie sich mit dem Konto des Betrachters in der Geräteverwaltung an.
- Wählen Sie Nutzername > Mein Nutzer aus.
- Klicken Sie im Dialogfeld auf API-Token generieren.
- Kopieren und speichern Sie das API-Token.
Feed in Google Security Operations konfigurieren, um SentinelOne-EDR-Protokolle zu verarbeiten
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
- Geben Sie einen eindeutigen Namen für das Feld ein.
- Wählen Sie Google Cloud Storage als Quelltyp aus.
- Wählen Sie SentinelOne EDR als Protokolltyp aus.
- Klicken Sie auf Dienstkonto abrufen. Google Security Operations stellt ein eindeutiges Dienstkonto bereit, das Google Security Operations zum Aufnehmen von Daten verwendet.
- Konfigurieren Sie den Zugriff des Dienstkontos auf die Cloud Storage-Objekte. Weitere Informationen finden Sie unter Zugriff auf das Dienstkonto von Google Security Operations gewähren.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- URI des Speicher-Buckets
- URI ist ein
- Option zum Löschen von Quellen
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.
Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser extrahiert SentinelOne-EDR-Protokolle, transformiert sie in UDM und verarbeitet sowohl Legacy- als auch Cloud-Trichterformate (v1 und v2). Es führt eine umfangreiche Feldzuordnung durch, einschließlich Netzwerkverbindungen, Prozessereignisse, Datei- und Registry-Aktivitäten, geplante Aufgaben und Bedrohungsinformationen. Dabei wird bedingte Logik auf der Grundlage von Ereignistypen und Datenquellen verwendet. Der Parser übernimmt auch die Zuordnung des MITRE ATT&CK-Frameworks und verschiedene Aufgaben zur Datennormalisierung wie Zeitstempelkonvertierung und Stringmanipulation.
SentinelOne-Parser-UDM-Zuordnung
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
@timestamp |
metadata.event_timestamp |
Der von SentinelOne aufgezeichnete Zeitstempel des Ereignisses. Aus dem Feld @timestamp im Rohprotokoll geparst. |
agentDetectionInfo.accountId |
metadata.product_deployment_id |
Die ID des Kontos in SentinelOne. |
agentDetectionInfo.accountName |
principal.administrative_domain |
Der Name des Kontos in SentinelOne. |
agentDetectionInfo.agentDomain |
principal.administrative_domain |
Die Domain des Kundenservicemitarbeiters. |
agentDetectionInfo.agentIpV4 |
principal.ip, principal.asset.ip |
Die IPv4-Adresse des Kundenservicemitarbeiters. |
agentDetectionInfo.agentLastLoggedInUserName |
principal.user.user_display_name |
Der Nutzername des zuletzt angemeldeten Nutzers auf dem Agenten. |
agentDetectionInfo.agentMachineType |
principal.asset.machine_type |
Der Computertyp, auf dem der Agent installiert ist (z.B. Desktop, Server oder Laptop). |
agentDetectionInfo.agentMitigationMode |
– | Der Minderungsmodus des Kundenservicemitarbeiters. Nicht dem UDM zugeordnet. |
agentDetectionInfo.agentNetworkStatus |
– | Der Netzwerkstatus des Kundenservicemitarbeiters. Nicht UDM zugeordnet. |
agentDetectionInfo.agentOsName |
principal.asset.platform_software.platform |
Der Name des Betriebssystems des Kundenservicemitarbeiters. |
agentDetectionInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
Die Betriebssystemversion des Kundenservicemitarbeiters. |
agentDetectionInfo.agentRegisteredAt |
principal.asset.first_discover_time |
Der Zeitstempel, der angibt, wann der Kundenservicemitarbeiter registriert wurde. |
agentDetectionInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
Die UUID des Kundenservicemitarbeiters. Formatiert als „Device ID: {uuid}“. |
agentDetectionInfo.agentVersion |
metadata.product_version |
Die Version des SentinelOne-Agents. |
agentDetectionInfo.externalIp |
principal.ip, principal.asset.ip |
Die externe IP-Adresse des Kundenservicemitarbeiters. |
agentDetectionInfo.groupId |
principal.user.group_identifiers |
Die ID der Gruppe, zu der der Kundenservicemitarbeiter gehört. |
agentDetectionInfo.groupName |
principal.group.group_display_name |
Der Name der Gruppe, zu der der Kundenservicemitarbeiter gehört. |
agentDetectionInfo.siteId |
principal.namespace |
Die ID der Website, zu der der Kundenservicemitarbeiter gehört. |
agentDetectionInfo.siteName |
principal.location.name |
Der Name der Website, zu der der Agent gehört. |
agentRealtimeInfo.accountId |
metadata.product_deployment_id |
Die ID des Kontos in SentinelOne. |
agentRealtimeInfo.accountName |
principal.administrative_domain |
Der Name des Kontos in SentinelOne. |
agentRealtimeInfo.activeThreats |
– | Die Anzahl der aktiven Bedrohungen auf dem Agenten. Nicht UDM zugeordnet. |
agentRealtimeInfo.agentComputerName |
principal.hostname, principal.asset.hostname |
Der Hostname des Computers des Kundenservicemitarbeiters. |
agentRealtimeInfo.agentDecommissionedAt |
– | Gibt an, ob der Agent außer Betrieb gesetzt wurde. Nicht UDM zugeordnet. |
agentRealtimeInfo.agentDomain |
principal.administrative_domain |
Die Domain des Kundenservicemitarbeiters. |
agentRealtimeInfo.agentId |
– | Die ID des Kundenservicemitarbeiters. Nicht UDM zugeordnet. |
agentRealtimeInfo.agentInfected |
– | Gibt an, ob der Agent infiziert ist. Nicht UDM zugeordnet. |
agentRealtimeInfo.agentIsActive |
– | Gibt an, ob der Agent aktiv ist. Nicht UDM zugeordnet. |
agentRealtimeInfo.agentIsDecommissioned |
– | Gibt an, ob der Agent außer Betrieb gesetzt wurde. Nicht UDM zugeordnet. |
agentRealtimeInfo.agentMachineType |
principal.asset.machine_type |
Der Computertyp, auf dem der Agent installiert ist (z.B. Desktop, Server oder Laptop). |
agentRealtimeInfo.agentMitigationMode |
– | Der Minderungsmodus des Kundenservicemitarbeiters. Nicht dem UDM zugeordnet. |
agentRealtimeInfo.agentNetworkStatus |
– | Der Netzwerkstatus des Kundenservicemitarbeiters. Nicht UDM zugeordnet. |
agentRealtimeInfo.agentOsName |
principal.asset.platform_software.platform |
Der Name des Betriebssystems des Kundenservicemitarbeiters. |
agentRealtimeInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
Die Betriebssystemversion des Kundenservicemitarbeiters. |
agentRealtimeInfo.agentOsType |
principal.platform |
Der Betriebssystemtyp des Kundenservicemitarbeiters. |
agentRealtimeInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
Die UUID des Kundenservicemitarbeiters. Formatiert als „Device ID: {uuid}“. |
agentRealtimeInfo.agentVersion |
metadata.product_version |
Die Version des SentinelOne-Agents. |
agentRealtimeInfo.groupId |
principal.user.group_identifiers |
Die ID der Gruppe, zu der der Kundenservicemitarbeiter gehört. |
agentRealtimeInfo.groupName |
principal.group.group_display_name |
Der Name der Gruppe, zu der der Kundenservicemitarbeiter gehört. |
agentRealtimeInfo.networkInterfaces |
principal.ip, principal.asset.ip, principal.mac |
Informationen zur Netzwerkschnittstelle, einschließlich IP- und MAC-Adressen. |
agentRealtimeInfo.operationalState |
– | Der Betriebsstatus des Kundenservicemitarbeiters. Nicht dem UDM zugeordnet. |
agentRealtimeInfo.rebootRequired |
– | Gibt an, ob ein Neustart erforderlich ist. Nicht UDM zugeordnet. |
agentRealtimeInfo.scanAbortedAt |
– | Der Zeitstempel, zu dem ein Scan abgebrochen wurde. Nicht dem UDM zugeordnet. |
agentRealtimeInfo.scanFinishedAt |
– | Der Zeitstempel für das Ende eines Scans. Nicht UDM zugeordnet. |
agentRealtimeInfo.scanStartedAt |
– | Der Zeitstempel, zu dem ein Scan gestartet wurde. Nicht UDM zugeordnet. |
agentRealtimeInfo.scanStatus |
– | Der Status eines Scans. Nicht UDM zugeordnet. |
agentRealtimeInfo.siteId |
principal.namespace |
Die ID der Website, zu der der Kundenservicemitarbeiter gehört. |
agentRealtimeInfo.siteName |
principal.location.name |
Der Name der Website, zu der der Agent gehört. |
agentRealtimeInfo.storageName |
– | Der Name des Speichers. Nicht UDM zugeordnet. |
agentRealtimeInfo.storageType |
– | Speichertyp Nicht UDM zugeordnet. |
agentRealtimeInfo.userActionsNeeded |
– | Nutzeraktionen erforderlich Nicht dem UDM zugeordnet. |
batch.customer_id |
– | Die Kundennummer. Nicht UDM zugeordnet. |
batch.collector_id |
– | Die Collector-ID. Nicht UDM zugeordnet. |
batch.type |
metadata.log_type |
Der Typ des Batches. |
collection_time |
metadata.collected_timestamp |
Der Zeitpunkt, zu dem das Protokoll erfasst wurde. |
create_time |
metadata.event_timestamp |
Die Uhrzeit, zu der das Ereignis erstellt wurde. |
data |
(Verschiedene) | Die Hauptdatennutzlast des SentinelOne-Ereignisses. Die Felder in diesem Objekt werden je nach Ereignistyp verschiedenen UDM-Feldern zugeordnet. |
event.activityType |
– | Der Aktivitätstyp. Nicht UDM zugeordnet. |
event.agentId |
metadata.product_deployment_id |
Die ID des Kundenservicemitarbeiters. |
event.agentUpdatedVersion |
– | Die aktualisierte Version des Agents. Nicht UDM zugeordnet. |
event.comments |
– | Kommentare, die mit dem Ereignis verknüpft sind. Nicht UDM zugeordnet. |
event.createdAt |
metadata.event_timestamp |
Die Uhrzeit, zu der das Ereignis erstellt wurde. |
event.data |
(Verschiedene) | Mit dem Ereignis verknüpfte Daten. Die Felder in diesem Objekt werden je nach Ereignistyp verschiedenen UDM-Feldern zugeordnet. |
event.description |
metadata.product_event_type |
Die Beschreibung des Ereignisses. |
event.destinationAddress.address |
target.ip |
Die IP-Adresse des Ziels. |
event.destinationAddress.port |
target.port |
Der Port des Ziels. |
event.direction |
network.direction |
Die Richtung der Netzwerkverbindung. Zugewiesen zu „INBOUND“ oder „OUTBOUND“. |
event.executable.commandLine |
principal.process.command_line, target.process.command_line |
Die Befehlszeile der ausführbaren Datei. |
event.executable.creationTime.millisecondsSinceEpoch |
– | Die Erstellungszeit der ausführbaren Datei. Nicht UDM zugeordnet. |
event.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Der vollständige Pfad der ausführbaren Datei. |
event.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
Der MD5-Hash der ausführbaren Datei. |
event.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
Der SHA1-Hash der ausführbaren Datei. |
event.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
Der SHA256-Hash der ausführbaren Datei. |
event.executable.isDir |
– | Gibt an, ob die ausführbare Datei ein Verzeichnis ist. Nicht UDM zugeordnet. |
event.executable.isKernelModule |
– | Gibt an, ob die ausführbare Datei ein Kernelmodul ist. Nicht UDM zugeordnet. |
event.executable.name |
– | Der Name der ausführbaren Datei. Nicht dem UDM zugeordnet. |
event.executable.node.key.value |
– | Der Knotenschlüsselwert der ausführbaren Datei. Nicht UDM zugeordnet. |
event.executable.owner.name |
– | Der Name des Eigentümers der ausführbaren Datei. Nicht UDM zugeordnet. |
event.executable.owner.sid |
– | Die SID des Eigentümers der ausführbaren Datei. Nicht UDM zugeordnet. |
event.executable.pUnix |
– | Der pUnix-Wert der ausführbaren Datei. Nicht UDM zugeordnet. |
event.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Die Identität der signierten ausführbaren Datei. Formatiert als „Signed Identity of Source Signature: {identity}“. |
event.executable.signature.signed.valid |
– | Gibt an, ob die Signatur gültig ist. Nicht UDM zugeordnet. |
event.executable.signature.unsigned |
– | Gibt an, ob die ausführbare Datei nicht signiert ist. Nicht dem UDM zugeordnet. |
event.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Die Größe der ausführbaren Datei in Byte. |
event.excluded |
– | Gibt an, ob das Ereignis ausgeschlossen ist. Nicht UDM zugeordnet. |
event.file.creationTime.millisecondsSinceEpoch |
– | Der Erstellungszeitpunkt der Datei. Nicht UDM zugeordnet. |
event.file.full_path |
target.file.full_path |
Der vollständige Pfad der Datei. |
event.file.hashes.md5 |
target.process.file.md5 |
Der MD5-Hash der Datei |
event.file.hashes.sha1 |
target.process.file.sha1 |
Der SHA1-Hash der Datei. |
event.file.hashes.sha256 |
target.process.file.sha256 |
Der SHA256-Hash der Datei. |
event.file.isDir |
– | Gibt an, ob es sich bei der Datei um ein Verzeichnis handelt. Nicht dem UDM zugeordnet. |
event.file.isKernelModule |
– | Gibt an, ob es sich bei der Datei um ein Kernel-Modul handelt. Nicht UDM zugeordnet. |
event.file.node.key.value |
– | Der Knotenschlüsselwert der Datei. Nicht UDM zugeordnet. |
event.file.owner.name |
– | Der Name des Eigentümers der Datei. Nicht UDM zugeordnet. |
event.file.owner.sid |
– | Die SID des Eigentümers der Datei. Nicht dem UDM zugeordnet. |
event.file.pUnix |
– | Der pUnix-Wert der Datei. Nicht UDM zugeordnet. |
event.file.signature.unsigned |
– | Gibt an, ob die Datei nicht signiert ist. Nicht UDM zugeordnet. |
event.file.sizeBytes |
– | Die Größe der Datei in Byte Nicht UDM zugeordnet. |
event.fullPid.pid |
principal.process.pid, target.process.pid |
Die Prozess-ID. |
event.fullPid.startTime.millisecondsSinceEpoch |
– | Die Startzeit des Prozesses. Nicht UDM zugeordnet. |
event.hashes.md5 |
target.file.md5 |
Der MD5-Hash. |
event.hashes.sha1 |
target.file.sha1 |
Der SHA1-Hash. |
event.hashes.sha256 |
target.file.sha256 |
Der SHA256-Hash. |
event.id |
metadata.product_log_id |
Die Ereignis-ID. |
event.interactive |
– | Gibt an, ob das Ereignis interaktiv ist. Nicht UDM zugeordnet. |
event.isRedirectedCommandProcessor |
– | Gibt an, ob das Ereignis ein umgeleiteter Befehls-Prozessor ist. Nicht UDM zugeordnet. |
event.isWow64 |
– | Gibt an, ob das Ereignis WoW64 ist. Nicht UDM zugeordnet. |
event.method |
network.http.method |
Die HTTP-Methode. |
event.name |
– | Der Name des Ereignisses. Nicht UDM zugeordnet. |
event.node.key.value |
– | Der Knotenschlüsselwert des Ereignisses. Nicht UDM zugeordnet. |
event.oldHashes.md5 |
– | Der alte MD5-Hash. Nicht dem UDM zugeordnet. |
event.oldHashes.sha1 |
– | Der alte SHA1-Hash. Nicht UDM zugeordnet. |
event.oldHashes.sha256 |
– | Der alte SHA256-Hash. Nicht UDM zugeordnet. |
event.parent.commandLine |
principal.process.parent_process.command_line, target.process.parent_process.command_line |
Die Befehlszeile des übergeordneten Prozesses. |
event.parent.excluded |
– | Gibt an, ob das übergeordnete Ereignis ausgeschlossen ist. Nicht dem UDM zugeordnet. |
event.parent.executable.creationTime.millisecondsSinceEpoch |
– | Der Erstellungszeitpunkt der übergeordneten ausführbaren Datei. Nicht UDM zugeordnet. |
event.parent.executable.full_path |
principal.process.parent_process.file.full_path, target.process.parent_process.file.full_path |
Der vollständige Pfad der übergeordneten ausführbaren Datei. |
event.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5, target.process.parent_process.file.md5 |
Der MD5-Hash der übergeordneten ausführbaren Datei. |
event.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1, target.process.parent_process.file.sha1 |
Der SHA1-Hash der übergeordneten ausführbaren Datei. |
event.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256, target.process.parent_process.file.sha256 |
Der SHA256-Hash der übergeordneten ausführbaren Datei. |
event.parent.executable.isDir |
– | Gibt an, ob die übergeordnete ausführbare Datei ein Verzeichnis ist. Nicht UDM zugeordnet. |
event.parent.executable.isKernelModule |
– | Gibt an, ob die übergeordnete ausführbare Datei ein Kernelmodul ist. Nicht UDM zugeordnet. |
event.parent.executable.node.key.value |
– | Der Knotenschlüsselwert der übergeordneten ausführbaren Datei. Nicht UDM zugeordnet. |
event.parent.executable.owner.name |
– | Der Name des Eigentümers der übergeordneten ausführbaren Datei. Nicht UDM zugeordnet. |
event.parent.executable.owner.sid |
– | Die SID des Eigentümers der übergeordneten ausführbaren Datei. Nicht UDM zugeordnet. |
event.parent.executable.pUnix |
– | Der pUnix-Wert der übergeordneten ausführbaren Datei. Nicht UDM zugeordnet. |
event.parent.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Die Identität der signierten übergeordneten ausführbaren Datei. Formatiert als „Source Parent Signature Signed Identity: {identity}“. |
event.parent.executable.signature.signed.valid |
– | Gibt an, ob die übergeordnete Signatur gültig ist. Nicht UDM zugeordnet. |
event.parent.executable.signature.unsigned |
– | Gibt an, ob die übergeordnete ausführbare Datei nicht signiert ist. Nicht UDM zugeordnet. |
event.parent.executable.sizeBytes |
principal.process.parent_process.file.size, target.process.parent_process.file.size |
Die Größe der übergeordneten ausführbaren Datei in Byte. |
event.parent.fullPid.pid |
principal.process.parent_process.pid, target.process.parent_process.pid |
Die ID des übergeordneten Prozesses. |
event.parent.fullPid.startTime.millisecondsSinceEpoch |
– | Der Startzeitpunkt des übergeordneten Prozesses. Nicht UDM zugeordnet. |
event.parent.interactive |
– | Gibt an, ob das übergeordnete Ereignis interaktiv ist. Nicht UDM zugeordnet. |
event.parent.isRedirectedCommandProcessor |
– | Gibt an, ob das übergeordnete Ereignis ein umgeleiteter Befehls-Prozessor ist. Nicht UDM zugeordnet. |
event.parent.isWow64 |
– | Gibt an, ob das übergeordnete Ereignis WoW64 ist. Nicht UDM zugeordnet. |
event.parent.name |
– | Der Name des übergeordneten Ereignisses. Nicht UDM zugeordnet. |
event.parent.node.key.value |
– | Der Knotenschlüsselwert des übergeordneten Ereignisses. Nicht dem UDM zugeordnet. |
event.parent.root |
– | Gibt an, ob das übergeordnete Ereignis das Stammereignis ist. Nicht UDM zugeordnet. |
event.parent.sessionId |
– | Die Sitzungs-ID des übergeordneten Ereignisses. Nicht UDM zugeordnet. |
event.parent.subsystem |
– | Das Subsystem des übergeordneten Ereignisses. Nicht UDM zugeordnet. |
event.parent.trueContext.key.value |
– | Der wahre Kontextschlüsselwert des übergeordneten Ereignisses. Nicht UDM zugeordnet. |
event.parent.user.integrityLevel |
– | Die Integritätsebene des übergeordneten Nutzers. Nicht UDM zugeordnet. |
event.parent.user.name |
principal.user.userid |
Der Nutzername des übergeordneten Prozesses. |
event.parent.user.sid |
principal.user.windows_sid |
Die Windows-SID des übergeordneten Nutzers. |
event.process.commandLine |
target.process.command_line |
Die Befehlszeile des Prozesses. |
event.process.executable.creationTime.millisecondsSinceEpoch |
– | Die Erstellungszeit der ausführbaren Prozessdatei. Nicht UDM zugeordnet. |
event.process.executable.full_path |
target.process.file.full_path |
Der vollständige Pfad der ausführbaren Prozessdatei. |
event.process.executable.hashes.md5 |
target.process.file.md5 |
Der MD5-Hash der ausführbaren Prozessdatei. |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
Der SHA1-Hash der ausführbaren Prozessdatei. |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
Der SHA256-Hash der ausführbaren Prozessdatei. |
event.process.executable.isDir |
– | Gibt an, ob die ausführbare Datei des Prozesses ein Verzeichnis ist. Nicht UDM zugeordnet. |
event.process.executable.isKernelModule |
– | Gibt an, ob die ausführbare Datei des Prozesses ein Kernelmodul ist. Nicht UDM zugeordnet. |
event.process.executable.node.key.value |
– | Der Knotenschlüsselwert der ausführbaren Prozessdatei. Nicht UDM zugeordnet. |
event.process.executable.owner.name |
– | Der Name des Eigentümers der ausführbaren Prozessdatei. Nicht UDM zugeordnet. |
event.process.executable.owner.sid |
– | Die SID des Inhabers der ausführbaren Prozessdatei. Nicht UDM zugeordnet. |
event.process.executable.pUnix |
– | Der pUnix-Wert der ausführbaren Prozessdatei. Nicht UDM zugeordnet. |
event.process.executable.signature.unsigned |
– | Gibt an, ob die ausführbare Datei des Prozesses nicht signiert ist. Nicht UDM zugeordnet. |
event.process.executable.sizeBytes |
target.process.file.size |
Die Größe der ausführbaren Prozessdatei in Byte. |
event.process.excluded |
– | Gibt an, ob der Prozess ausgeschlossen ist. Nicht dem UDM zugeordnet. |
event.process.fullPid.pid |
target.process.pid |
Die Prozess-ID. |
event.process.fullPid.startTime.millisecondsSinceEpoch |
– | Die Startzeit des Prozesses. Nicht dem UDM zugeordnet. |
event.process.interactive |
– | Gibt an, ob der Prozess interaktiv ist. Nicht UDM zugeordnet. |
event.process.isRedirectedCommandProcessor |
– | Gibt an, ob der Prozess ein umgeleiteter Befehls-Prozessor ist. Nicht UDM zugeordnet. |
event.process.isWow64 |
– | Gibt an, ob der Prozess WoW64 ist. Nicht UDM zugeordnet. |
event.process.name |
– | Der Name des Prozesses. Nicht UDM zugeordnet. |
event.process.node.key.value |
– | Der Knotenschlüsselwert des Prozesses. Nicht UDM zugeordnet. |
event.process.root |
– | Gibt an, ob es sich bei dem Prozess um den Root-Prozess handelt. Nicht UDM zugeordnet. |
event.process.sessionId |
– | Die Sitzungs-ID des Prozesses. Nicht UDM zugeordnet. |
event.process.subsystem |
– | Das Subsystem des Prozesses. Nicht UDM zugeordnet. |
event.process.trueContext.key.value |
– | Der wahre Kontextschlüsselwert des Prozesses. Nicht UDM zugeordnet. |
event.process.user.integrityLevel |
– | Die Integritätsebene des Prozessnutzers. Nicht UDM zugeordnet. |
event.process.user.name |
target.user.userid |
Der Nutzername des Prozesses. |
event.process.user.sid |
target.user.windows_sid |
Die Windows-SID des Prozessnutzers. |
event.query |
network.dns.questions.name |
Die DNS-Abfrage. |
event.regKey.key.value |
– | Der Wert des Registrierungsschlüssels. Nicht UDM zugeordnet. |
event.regKey.full_path |
target.registry.registry_key |
Der Pfad zum Registrierungsschlüssel. |
event.regValue.key.value |
target.registry.registry_value_name |
Der Name des Registrierungswerts. |
event.regValue.full_path |
target.registry.registry_key |
Der Pfad zum Registrierungswert. |
event.results |
network.dns.answers.data |
Die DNS-Ergebnisse. |
event.root |
– | Gibt an, ob das Ereignis das übergeordnete Ereignis ist. Nicht UDM zugeordnet. |
event.sessionId |
– | Die Sitzungs-ID des Ereignisses. Nicht dem UDM zugeordnet. |
event.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Die Identität des unterzeichneten Ereignisses. Formatiert als „Signed Identity of Source Signature: {identity}“. |
event.signature.signed.valid |
– | Gibt an, ob die Signatur gültig ist. Nicht UDM zugeordnet. |
event.signature.unsigned |
– | Gibt an, ob das Ereignis nicht signiert ist. Nicht UDM zugeordnet. |
event.source.commandLine |
principal.process.command_line, target.process.command_line |
Die Befehlszeile der Quelle. |
event.source.executable.creationTime.millisecondsSinceEpoch |
– | Die Erstellungszeit der ausführbaren Quelldatei. Nicht dem UDM zugeordnet. |
event.source.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Der vollständige Pfad zur ausführbaren Quelldatei. |
event.source.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
Der MD5-Hash der ausführbaren Quelldatei. |
event.source.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
Der SHA1-Hash der ausführbaren Quelldatei. |
event.source.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
Der SHA256-Hash der ausführbaren Quelldatei. |
event.source.executable.isDir |
– | Gibt an, ob die ausführbare Quelldatei ein Verzeichnis ist. Nicht UDM zugeordnet. |
event.source.executable.isKernelModule |
– | Gibt an, ob die ausführbare Quelle ein Kernelmodul ist. Nicht UDM zugeordnet. |
event.source.executable.node.key.value |
– | Der Knotenschlüsselwert der ausführbaren Quelldatei. Nicht UDM zugeordnet. |
event.source.executable.owner.name |
– | Der Name des Eigentümers der ausführbaren Quelldatei. Nicht dem UDM zugeordnet. |
event.source.executable.owner.sid |
– | Die SID des Inhabers der ausführbaren Quelldatei. Nicht UDM zugeordnet. |
event.source.executable.pUnix |
– | Der pUnix-Wert der ausführbaren Quelldatei. Nicht UDM zugeordnet. |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Die Identität der signierten ausführbaren Quelldatei. Formatiert als „Signed Identity of Source Signature: {identity}“. |
event.source.executable.signature.signed.valid |
– | Gibt an, ob die Quellsignatur gültig ist. Nicht UDM zugeordnet. |
event.source.executable.signature.unsigned |
– | Gibt an, ob die ausführbare Quelldatei nicht signiert ist. Nicht dem UDM zugeordnet. |
event.source.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Die Größe der ausführbaren Quelldatei in Byte. |
event.source.excluded |
– | Gibt an, ob die Quelle ausgeschlossen ist. Nicht UDM zugeordnet. |
event.source.fullPid.pid |
principal.process.pid, target.process.pid |
Die Prozess-ID der Quelle. |
event.source.fullPid.startTime.millisecondsSinceEpoch |
– | Die Startzeit des Quellprozesses. Nicht dem UDM zugeordnet. |
event.source.interactive |
– | Gibt an, ob die Quelle interaktiv ist. Nicht UDM zugeordnet. |
event.source.isRedirectedCommandProcessor |
– | Gibt an, ob die Quelle ein umgeleiteter Befehls-Prozessor ist. Nicht UDM zugeordnet. |
event.source.isWow64 |
– | Gibt an, ob die Quelle WoW64 ist. Nicht dem UDM zugeordnet. |
event.source.name |
– | Der Name der Quelle. Nicht UDM zugeordnet. |
event.source.node.key.value |
– | Der Knotenschlüsselwert der Quelle. Nicht UDM zugeordnet. |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
Die Befehlszeile des übergeordneten Elements der Quelle. |
event.source.parent.excluded |
– | Gibt an, ob das übergeordnete Element der Quelle ausgeschlossen ist. Nicht UDM zugeordnet. |
event.source.parent.executable.full_path |
principal.process.parent_process.file.full_path |
Der vollständige Pfad der übergeordneten ausführbaren Datei der Quelle. |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
Der MD5-Hash der übergeordneten ausführbaren Datei der Quelle. |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
Der SHA1-Hash der übergeordneten ausführbaren Datei der Quelle. |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
Der SHA256-Hash der übergeordneten ausführbaren Datei der Quelle. |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
Die Prozess-ID des übergeordneten Elements der Quelle. |
event.source.parent.fullPid.startTime.millisecondsSinceEpoch |
– | Die Startzeit des übergeordneten Prozesses der Quelle. Nicht dem UDM zugeordnet. |
event.source.parent.interactive |
– | Gibt an, ob das übergeordnete Element der Quelle interaktiv ist. Nicht UDM zugeordnet. |
event.source.parent.isRedirectedCommandProcessor |
– | Gibt an, ob das übergeordnete Element der Quelle ein umgeleiteter Befehls-Prozessor ist. Nicht UDM zugeordnet. |
event.source.parent.isWow64 |
– | Gibt an, ob das übergeordnete Element der Quelle WoW64 ist. Nicht UDM zugeordnet. |
event.source.parent.name |
– | Der Name des übergeordneten Elements der Quelle. Nicht UDM zugeordnet. |
event.source.parent.node.key.value |
– | Der Knotenschlüsselwert des übergeordneten Elements der Quelle. Nicht UDM zugeordnet. |
event.source.parent.root |
– | Gibt an, ob das übergeordnete Element der Quelle „root“ ist. Nicht UDM zugeordnet. |
event.source.parent.sessionId |
– | Die Sitzungs-ID des übergeordneten Elements der Quelle. Nicht UDM zugeordnet. |
event.source.parent.subsystem |
– | Das Subsystem des übergeordneten Elements der Quelle. Nicht UDM zugeordnet. |
event.source.parent.trueContext.key.value |
– | Der wahre Kontextschlüsselwert des übergeordneten Elements der Quelle. Nicht UDM zugeordnet. |
event.source.parent.user.integrityLevel |
– | Die Integritätsebene des übergeordneten Nutzers der Quelle. Nicht UDM zugeordnet. |
event.source.parent.user.name |
– | Der Nutzername des übergeordneten Elements der Quelle. Nicht UDM zugeordnet. |
event.source.parent.user.sid |
– | Die Windows-SID des übergeordneten Nutzers der Quelle. Nicht dem UDM zugeordnet. |
event.source.root |
– | Gibt an, ob es sich bei der Quelle um die Stammquelle handelt. Nicht UDM zugeordnet. |
event.source.sessionId |
– | Die Sitzungs-ID der Quelle. Nicht UDM zugeordnet. |
event.source.subsystem |
– | Das Subsystem der Quelle. Nicht UDM zugeordnet. |
event.source.trueContext.key.value |
– | Der wahre Kontextschlüsselwert der Quelle. Nicht dem UDM zugeordnet. |
event.source.user.integrityLevel |
– | Die Integritätsebene des Quellnutzers. Nicht dem UDM zugeordnet. |
event.source.user.name |
principal.user.userid |
Der Nutzername der Quelle. |
event.source.user.sid |
principal.user.windows_sid |
Die Windows-SID des Quellnutzers. |
event.sourceAddress.address |
principal.ip |
Die IP-Adresse der Quelle. |
event.sourceAddress.port |
principal.port |
Der Port der Quelle. |
event.status |
– | Der Status des Ereignisses. Nicht UDM zugeordnet. |
event.subsystem |
– | Das Subsystem des Ereignisses. Nicht UDM zugeordnet. |
event.targetFile.creationTime.millisecondsSinceEpoch |
– | Die Erstellungszeit der Zieldatei. Nicht UDM zugeordnet. |
event.targetFile.full_path |
target.file.full_path |
Der vollständige Pfad der Zieldatei. |
event.targetFile.hashes.md5 |
target.process.file.md5 |
Der MD5-Hash der Zieldatei. |
event.targetFile.hashes.sha1 |
target.process.file.sha1 |
Der SHA1-Hash der Zieldatei. |
event.targetFile.hashes.sha256 |
target.process.file.sha256 |
Der SHA256-Hash der Zieldatei. |
event.targetFile.isDir |
– | Gibt an, ob die Zieldatei ein Verzeichnis ist. Nicht UDM zugeordnet. |
event.targetFile.isKernelModule |
Änderungen
2024-06-03
- „suser“ wurde „principal.user.userid“ zugeordnet.
- „accountId“ wurde „target.user.userid“ zugeordnet.
- „MessageSourceAddress“ wurde mit „principal.ip“ verknüpft.
- „machine_host“ wurde „principal.hostname“ zugeordnet.
2024-05-20
- „event.dns.response“ wurde in „network.dns.answers.data“ geändert.
2024-05-06
- Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
2024-03-22
- Es wurde ein neues Grok-Muster hinzugefügt, um das neue Format von tab-getrennten KV-Logs zu parsen.
- „osName“ wurde „src.platform“ zugeordnet.
2024-03-15
- „site.id:account.id:agent.uuid:tgt.process.uid“ wurde in „target.process.product_specific_process_id“ umgewandelt.
- „site.id:account.id:agent.uuid:src.process.uid“ wurde in „principal.process.product_specific_process_id“ umgewandelt.
- „site.id:account.id:agent.uuid:src.process.parent.uid“ wurde in „principal.process.parent_process.product_specific_process_id“ umgewandelt.
- Die Zuordnung von „src.process.cmdline“ zu „target.process.command_line“ wurde entfernt.
2023-11-09
- Lösung:
- „tgt.process.user“ wurde in „target.user.userid“ geändert.
2023-10-30
- Lösung:
- Vor der Zuordnung zu UDM wurde „principal_port“ die Prüfung auf „nicht null“ hinzugefügt.
- Wenn „event.category“ „url“ und „meta.event.name“ „HTTP“ ist, wird „metadata.event_type“ mit „NETWORK_HTTP“ abgeglichen.
2023-09-06
- Zuordnung von „tgt.process.storyline.id“ zu „security_result.about.resource.attribute.labels“ hinzugefügt.
- Die Zuordnung von „src.process.storyline.id“ wurde von „principal.process.product_specific_process_id“ zu „security_result.about.resource.attribute.labels“ geändert.
- Die Zuordnung von „src.process.parent.storyline.id“ wurde von „principal.parent.process.product_specific_process_id“ zu „security_result.about.resource.attribute.labels“ geändert.
2023-08-31
- „indicator.category“ wurde in „security_result.category_details“ geändert.
2023-08-03
- „event_data.login.loginIsSuccessful“ wurde auf „null“ initialisiert.
- „module.path“ wurde auf „target.process.file.full_path“ und „target.file.full_path“ zugeordnet, wobei „event.type“ „Module Load“ ist.
- „module.sha1“ wurde auf „target.process.file.sha1“ und „target.file.sha1“ zugeordnet, wobei „event.type“ „Module Load“ ist.
- „metadata.event_type“ wurde in „PROCESS_MODULE_LOAD“ umgewandelt, wobei „event.type“ „Module Load“ ist.
- „registry.keyPath“ wurde für „REGISTRY*“-Ereignisse in „target.registry.registrykey“ umgewandelt.
- „registry.value“ wurde für „REGISTRY*“-Ereignisse in „target.registry.registry_valuedata“ umgewandelt.
- „event.network.protocolName“ wurde in „network.application_protocol“ geändert.
- „principal.platform“ und „principal.asset.platform_software.platform“ wurden in „LINUX“ umgewandelt, wenn „endpoint.os“ „linux“ ist.
- „event.login.userName“ wurde „target.user.userid“ zugeordnet, wenn „event.type“ „Login“ oder „Logout“ ist.
- „target.hostname“ wurde zugeordnet, indem der Hostname aus „url.address“ abgerufen wurde, wenn „event.type“ „GET“, „OPTIONS“, „POST“, „PUT“, „DELETE“, „CONNECT“ oder „HEAD“ ist.
2023-06-09
- „osSrc.process.parent.publisher“ wurde in „principal.resource.attribute.labels“ geändert.
- „src.process.rUserName/src.process.eUserName/src.process.lUserName“ wurde in „principal.user.user_display_name“ umgewandelt.
- Es wurde eine Prüfung für die Felder „src.process.eUserId“, „src.process.lUserId“ und „tgt.process.rUserUid“ vor der Zuordnung zu UDM hinzugefügt.
- „tgt.file.location“, „registry.valueFullSize“ und „registry.valueType“ wurden in „target.resource.attribute.labels“ geändert.
- „indicator.description“ wurde „security_result.summary“ zugeordnet.
- „metadata.event_type“ wurde „SCAN_NETWORK“ zugeordnet, wobei „event.type“ „Verhaltensmesswerte“ ist.
- „metadata.event_type“ wurde auf „SCAN_UNCATEGORIZED“ umgestellt, wenn „event.type“ „Command Script“ ist.
- Die Felder „meta.osFamily“, „meta.osRevision“ und „event.type“ wurden initialisiert.
- Dem Datumsfilter wurde ISO8601 hinzugefügt, um den ISO8601-Zeitstempel zu parsen.
- „on_error“ wurde der Stringkonvertierung „@timestamp“ hinzugefügt.
- „on_error“ wurde vor der Zuordnung zu „meta.uuid“ hinzugefügt.
2023-05-25
- „event.source.commandLine“ wurde in „principal.process.command_line“ geändert.
- „event.source.executable.path“ wurde in „principal.process.file.full_path“ geändert.
- Legen Sie „metadata.event_type“ auf „PROCESS_OPEN“ fest, wenn „event.type“ „openProcess“ ist.
- „site.name:site.id“ wurde „principal.namespace“ zugeordnet, wenn sowohl „site.name“ als auch „site.id“ nicht null sind.
- „event.network.direction“ wurde in „network.direction“ umgewandelt.
- „meta.event.name“ wurde in „metadata.description“ geändert.
- „task.name“ wurde „target.resource.name“ zugeordnet.
- „agent.uuid“ wurde „principal.asset.product_object_id“ zugeordnet.
- „src.process.publisher“ wurde in „principal.resource.attribute.labels“ geändert.
- „src.process.cmdline“ wurde in „target.process.command_line“ umgewandelt.
- „mgmt.osRevision“ wurde auf „principal.asset.platform_software.platform_version“ zugeordnet.
- „security_result.category“ wurde dem Wert „indicator.category“ zugeordnet.
- „event.dns.response“ wurde in „network.dns.answers“ geändert.
- „registry.keyPath“ wurde in „target.registry.registry_key“ geändert.
- „event.id“ wurde „target.registry.registry_value_name“ zugeordnet.
2023-04-27
- „event.type“ wurde für Cloud Funnel v2-Protokolle in „metadata.product_event_type“ umgewandelt.
2023-04-20
- Für das Feld „data.ipAddress“ wurde eine bedingte Prüfung auf „null“ und „-“ hinzugefügt.
- Grok-Bedingte Prüfung für das Feld „sourceMacAddresses“ hinzugefügt.
2023-03-02
- Wenn ("event.type" == "tcpv4" and "event.direction" == "INCOMING") oder "event.type" "(processExit|processTermination|processModification|duplicate)" enthält, wird „event.source.executable.signature.signed.identity“ mit „target.resource.attribute.labels“ verknüpft. Andernfalls wird es mit „principal.resource.attribute.labels“ verknüpft.
- „event.parent.executable.signature.signed.identity“ und „event.process.executable.signature.signed.identity“ wurden in „principal.resource.attribute.labels“ und „""“ umgewandelt.
- „event.targetFile.signature.signed.identity“, „event.target.executable.signature.signed.identity“ und „event.target.parent.executable.signature.signed.identity“ wurden in „target.resource.attribute.labels“ zugeordnet.
2023-02-24
- BugFix:
- Der Code wurde umgestaltet, um klar zwischen den Protokollversionen zu unterscheiden.
- Für USER_LOGIN-Cloud-Trichter-V2-Protokolle wurden die Details „event.login.lognIsSuccessful“ den Feldern „security_result.action“ und „security_result.summary“ zugeordnet.
2023-02-13
- BugFix:
- Cloud-Trichter-V1-Protokolle wurden nach Bedarf geparst.
- Alle HTTP-Protokolle werden „NETWORK_HTTP“ zugeordnet.
- Für „NETWORK_HTTP“ sollte das URL-Feld „target.url“ und nicht „metadata.url_back_to_product“ zugeordnet sein.
2023-01-20
- Das Feld „event.url“ wurde auf „target.hostname“ und „target.url“ zugeordnet.
- „metadata.event_type“ wurde in „NETWORK_HTTP“ umgewandelt, wenn „event.type“ == „http“.
2023-01-16
- Korrigieren
- „mgmt.url“ wurde „metadata.url_back_to_product“ anstelle von „target.url“ zugeordnet.
- „site.name“ wurde „principal.location.name“ zugeordnet.
- „src.process.rUserUid“ wurde in „principal.user.userid“ geändert.
- „src.process.eUserId“ wurde „principal.user.userid“ zugeordnet.
- „src.process.lUserId“ wurde „principal.user.userid“ zugeordnet.
- „src.process.parent.rUserUid“ wurde in „metadata.ingestion_labels“ geändert.
- „src.process.parent.eUserId“ wurde in „metadata.ingestion_labels“ geändert.
- „src.process.parent.lUserId“ wurde in „metadata.ingestion_labels“ geändert.
- „tgt.process.rUserUid“ wurde „target.user.userid“ zugeordnet.
- „tgt.process.eUserId“ wurde in „target.user.userid“ geändert.
- „tgt.process.lUserId“ wurde „target.user.userid“ zugeordnet.
- Wenn „event.type“ „Process Creation“ ist, wird „metadata.event_type“ mit „PROCESS_LAUNCH“ abgeglichen.
- Wenn „event.type“ „Duplicate Process Handle“ ist, wird „metadata.event_type“ mit „PROCESS_OPEN“ abgeglichen.
- Wenn „event.type“ „Duplicate Thread Handle“ ist, wird „metadata.event_type“ mit „PROCESS_OPEN“ abgeglichen.
- Wenn „event.type“ „Open Remote Process Handle“ ist, wird „metadata.event_type“ mit „PROCESS_OPEN“ abgeglichen.
- Wenn „event.type“ „Remote Thread Creation“ ist, wird „metadata.event_type“ auf „PROCESS_LAUNCH“ zugeordnet.
- Wenn „event.type“ „Command Script“ ist, wird „metadata.event_type“ auf „FILE_UNCATEGORIZED“ zugeordnet.
- Wenn „event.type“ „IP Connect“ ist, wird „metadata.event_type“ mit „NETWORK_CONNECTION“ abgeglichen.
- Wenn „event.type“ „IP-Listen“ ist, wird „metadata.event_type“ mit „NETWORK_UNCATEGORIZED“ abgeglichen.
- Wenn „event.type“ „Dateiänderung“ ist, wird „metadata.event_type“ mit „FILE_MODIFICATION“ abgeglichen.
- Wenn „event.type“ „Datei erstellen“ ist, wird „metadata.event_type“ mit „FILE_CREATION“ abgeglichen.
- Wenn „event.type“ „Dateiprüfung“ ist, wird „metadata.event_type“ mit „FILE_UNCATEGORIZED“ abgeglichen.
- Wenn „event.type“ „Dateilöschung“ ist, wird „metadata.event_type“ mit „FILE_DELETION“ abgeglichen.
- Wenn „event.type“ „Dateienamen ändern“ ist, wird „metadata.event_type“ mit „FILE_MODIFICATION“ verknüpft.
- Wenn „event.type“ „Pre Execution Detection“ ist, wird „metadata.event_type“ auf „FILE_UNCATEGORIZED“ zugeordnet.
- Wenn „event.type“ „Login“ ist, wird „metadata.event_type“ mit „USER_LOGIN“ abgeglichen.
- Wenn „event.type“ „Logout“ ist, wird „metadata.event_type“ mit „USER_LOGOUT“ abgeglichen.
- Wenn „event.type“ „GET“ ist, wird „metadata.event_type“ mit „NETWORK_HTTP“ abgeglichen.
- Wenn „event.type“ „OPTIONS“ ist, wird „metadata.event_type“ mit „NETWORK_HTTP“ abgeglichen.
- Wenn „event.type“ „POST“ ist, wird „metadata.event_type“ mit „NETWORK_HTTP“ abgeglichen.
- Wenn „event.type“ „PUT“ ist, wird „metadata.event_type“ mit „NETWORK_HTTP“ abgeglichen.
- Wenn „event.type“ „DELETE“ ist, wird „metadata.event_type“ mit „NETWORK_HTTP“ abgeglichen.
- Wenn „event.type“ „CONNECT“ ist, wird „metadata.event_type“ mit „NETWORK_HTTP“ abgeglichen.
- Wenn „event.type“ „HEAD“ ist, wird „metadata.event_type“ mit „NETWORK_HTTP“ abgeglichen.
- Wenn „event.type“ den Wert „Nicht gemeldet“ hat, wird „metadata.event_type“ mit „STATUS_UNCATEGORIZED“ abgeglichen.
- Wenn „event.type“ „DNS Resolved“ ist, wird „metadata.event_type“ mit „NETWORK_DNS“ verknüpft.
- Wenn „event.type“ „DNS nicht aufgelöst“ ist, wird „metadata.event_type“ mit „NETWORK_DNS“ verknüpft.
- Wenn „event.type“ „Task Register“ ist, wird „metadata.event_type“ mit „SCHEDULED_TASK_CREATION“ abgeglichen.
- Wenn „event.type“ „Task Update“ ist, wird „metadata.event_type“ mit „SCHEDULED_TASK_MODIfICATION“ abgeglichen.
- Wenn „event.type“ „Task Start“ ist, wird „metadata.event_type“ mit „SCHEDULED_TASK_UNCATEGORIZED“ abgeglichen.
- Wenn „event.type“ „Task Trigger“ ist, wird „metadata.event_type“ mit „SCHEDULED_TASK_UNCATEGORIZED“ abgeglichen.
- Wenn „event.type“ „Task Delete“ ist, wird „metadata.event_type“ mit „SCHEDULED_TASK_DELETION“ abgeglichen.
- Wenn „event.type“ „Registry Key Create“ ist, wird „metadata.event_type“ mit „REGISTRY_CREATION“ abgeglichen.
- Wenn „event.type“ „Registry Key Rename“ ist, wird „metadata.event_type“ mit „REGISTRY_MODIfICATION“ abgeglichen.
- Wenn „event.type“ den Wert „Registry Key Delete“ hat, wird „metadata.event_type“ mit „REGISTRY_DELETION“ abgeglichen.
- Wenn „event.type“ „Registry Key Export“ ist, wird „metadata.event_type“ mit „REGISTRY_UNCATEGORIZED“ abgeglichen.
- Wenn „event.type“ „Registry Key Security Changed“ ist, wird „metadata.event_type“ mit „REGISTRY_MODIfICATION“ abgeglichen.
- Wenn „event.type“ „Registry Key Import“ ist, wird „metadata.event_type“ mit „REGISTRY_CREATION“ abgeglichen.
- Wenn „event.type“ „Registry Value ModIfied“ ist, wird „metadata.event_type“ mit „REGISTRY_MODIfICATION“ abgeglichen.
- Wenn „event.type“ „Registry Value Create“ ist, wird „metadata.event_type“ mit „REGISTRY_CREATION“ abgeglichen.
- Wenn „event.type“ „Registry Value Delete“ ist, wird „metadata.event_type“ mit „REGISTRY_DELETION“ abgeglichen.
- Wenn „event.type“ „Verhaltensmesswerte“ ist, wurde „metadata.event_type“ auf „SCAN_UNCATEGORIZED“ zugeordnet.
- Wenn „event.type“ „Modul laden“ ist, wird „metadata.event_type“ mit „PROCESS_MODULE_LOAD“ abgeglichen.
- Wenn „event.type“ „Threat Intelligence Indicators“ ist, wird „metadata.event_type“ mit „SCAN_UNCATEGORIZED“ abgeglichen.
- Wenn „event.type“ „Named Pipe Creation“ ist, wird „metadata.event_type“ mit „PROCESS_UNCATEGORIZED“ abgeglichen.
- Wenn „event.type“ „Named Pipe Connection“ ist, wird „metadata.event_type“ mit „PROCESS_UNCATEGORIZED“ abgeglichen.
- Wenn „event.type“ „Treiberlast“ ist, wird „metadata.event_type“ mit „PROCESS_MODULE_LOAD“ abgeglichen.
2022-11-30
- Optimierung
- Der Parser wurde durch Zuordnung der folgenden Felder erweitert, um die in Version 2 aufgenommenen Protokolle zu unterstützen.
- „account.id“ wurde auf „metadata.product_deployment_id“ zugeordnet.
- „agent.uuid“ wurde „principal.asset.asset_id“ zugeordnet.
- „dst.ip.address“ wurde zu „target.ip“ zugeordnet.
- „src.ip.address“ wurde zu „principal.ip“ zugeordnet.
- „src.process.parent.image.sha1“ wurde in „principal.process.parent_process.file.sha1“ umgewandelt.
- „src.process.parent.image.sha256“ wurde in „principal.process.parent_process.file.sha256“ umgewandelt.
- „src.process.parent.image.path“ wurde in „principal.process.parent_process.file.full_path“ umgewandelt.
- „src.process.parent.cmdline“ wurde in „principal.process.parent_process.command_line“ geändert.
- „src.process.parent.image.md5“ wurde in „principal.process.parent_process.file.md5“ umgewandelt.
- „src.process.parent.pid“ wurde in „principal.process.parent_process.pid“ umgewandelt.
- „src.process.image.sha1“ wurde in „principal.process.file.sha1“ umgewandelt.
- „src.process.image.md5“ wurde in „principal.process.file.md5“ geändert.
- „src.process.pid“ wurde in „principal.process.pid“ umgewandelt.
- „src.process.cmdline“ wurde in „principal.process.command_line“ geändert.
- „src.process.image.path“ wurde in „principal.process.file.full_path“ umgewandelt.
- „src.process.image.sha256“ wurde in „principal.process.file.sha256“ umgewandelt.
- „src.process.user“ wurde in „principal.user.user_display_name“ umgewandelt.
- „src.process.uid“ wurde „principal.user.userid“ zugeordnet.
- „src.process.storyline.id“ wurde in „principal.process.product_specific_process_id“ umgewandelt.
- „src.process.parent.storyline.id“ wurde in „principal.process.parent_process.product_specific_process_id“ umgewandelt.
- „mgmt.url“ wurde „target.url“ zugeordnet.
- „site.id“ wurde „principal.namespace“ zugeordnet.
- „src.port.number“ wurde zu „principal.port“ zugeordnet.
- „dst.port.number“ wurde „target.port“ zugeordnet.
- „event_data.id“ wurde „metadata.product_log_id“ zugeordnet.
2022-10-11
- Optimierung
- „threatClassification“ wurde in „security_result.category_details“ geändert.
- „threatConfidenceLevel“ und „threatMitigationStatus“ wurden zu „security_result.detection_fields“ zugeordnet.
- „Standort“ wurde „principal.location.name“ zugeordnet.
- „data.filePath“ wurde auf „principal.process.parent_process.file.full_path“ zugeordnet.
- Die Zuordnung (CAT-Wert) „security_result.category_details“ zu „metadata.product_event_type“ wurde aktualisiert.
2022-09-01
- Optimierung
- Der Name „metadata.product_name“ wurde von „SentinelOne“ in „Singularity“ geändert.
- „event.regValue.key.value“ wurde in „target.registry.registry_value_name“ geändert.
- „principal_userid“ wurde in „principal.user.userid“ geändert.
- „principal_domain“ wurde in „principal.administrative_domain“ geändert.
- „threatInfo.threatId“ wurde in „security_result.threat_id“ umgewandelt
- „threatInfo.identifiedAt“ wurde in „metadata.event_timestamp“ umgewandelt.
- „threatInfo.threatId“ wurde in „metadata.product_log_id“ umgewandelt.
- „security_result.alert_state“ wurde in „ALERTING“ umgewandelt.
- „threatInfo.maliciousProcessArguments“ wurde „security_result.description“ zugeordnet.
- „threatInfo.threatName“ wurde in „security_result.threat_name“ umgewandelt.
- „threatInfo.classification“ wurde in „security_result.category_details“ umgewandelt.
- „security_result.category“ wurde „SOFTWARE_MALICIOUS“ zugeordnet, wenn „threatInfo.classification“ „malicious“ ist, andernfalls „NETWORK_SUSPICIOUS“.
- „security_result.action“ wurde „ALLOW“ zugeordnet, wenn „threatInfo.mitigationStatus“ „mitigated“ ist, andernfalls „BLOCK“.
- „threatInfo.mitigationStatus“ wurde in „security_result.action_details“ umgewandelt.
- „threatInfo.classification“, „threatInfo.classificationSource“, „threatInfo.analystVerdictDescription“ und „threatInfo.threatName“ wurden in „security_result.summary“ umgewandelt.
- „threatInfo.createdAt“ wurde in „metadata.collected_timestamp“ umgewandelt.
- „agentRealtimeInfo.accountId“ wurde auf „metadata.product_deployment_id“ zugeordnet.
- „agentRealtimeInfo.agentVersion“ wurde auf „metadata.product_version“ zugeordnet.
- „indicator.category“ wurde in „detection_fields.key“ und „indicator.description“ in „detection_fields.value“ umgewandelt.
- „detectionEngines.key“ wurde in „detection_fields.key“ und „detectionEngines.title“ in „detection_fields.value“ umgewandelt.
- „metadata.event_type“ wurde in „SCAN_UNCATEGORIZED“ umgewandelt, wenn „meta.computerName“ nicht null ist.
2022-07-21
- Optimierung
- „event.source.executable.hashes.md5“ wurde in „principal.process.file.md5“ geändert.
- „event.source.executable.hashes.sha256“ wurde in „principal.process.file.sha256“ umgewandelt.
- „event.source.executable.hashes.sha1“ wurde in „principal.process.file.sha1“ geändert.
- „event.source.fullPid.pid“ wurde in „principal.process.pid“ geändert.
- „event.source.user.name“ wurde „principal.user.userid“ zugeordnet.
- „meta.agentVersion“ wurde „metadata.product_version“ zugeordnet.
- „event.appName“ wurde „target.application“ zugeordnet.
- „event.contentHash.sha256“ wurde in „target.process.file.sha256“ umgewandelt.
- „event.source.commandLine“ wurde „target.process.command_line“ zugeordnet.
- event.decodedContent wurde target.labels zugeordnet.
- „metadata.description“ wurde von „scripts“ in „Command Scripts“ geändert, wenn „event.type“ „scripts“ ist.
- Der Anbieter wurde mit „metadata.vendor_name“ abgeglichen.
- „data.fileContentHash“ wurde auf „target.process.file.md5“ zugeordnet.
- „data.ipAddress“ wurde „principal.ip“ zugeordnet.
- activityUuid wurde target.asset.product_object_id zugeordnet.
- „agentId“ wurde „metadata.product_deployment_id“ zugeordnet.
- Es wurde eine E-Mail-Bestätigung für „user_email“ hinzugefügt, bevor sie mit „principal.user.email_addresses“ verknüpft wurde. Bei einem Fehler wurde sie mit „principal.user.userid“ verknüpft.
- Quell-IP-Adressen wurden principal.ip zugeordnet.
- „accountName“ wurde mit „principal.administrative_domain“ verknüpft.
- „activityId“ wurde „additional.fields“ zugeordnet.
2022-07-15
- Verbesserung: Die neuen Protokolle wurden im JSON-Format geparst und die folgenden neuen Felder wurden zugeordnet:
- „metadata.product_name“ zu „SENTINEL_ONE“.
- „sourceParentProcessMd5“ in „principal.process.parent_process.file.md5“
- „sourceParentProcessPath“ zu „principal.process.parent_process.file.full_path“.
- „sourceParentProcessPid“ zu „principal.process.parent_process.pid“
- „sourceParentProcessSha1“ in „principal.process.parent_process.file.sha1“
- „sourceParentProcessSha256“ in „principal.process.parent_process.file.sha256“
- „sourceParentProcessCmdArgs“ zu „principal.process.parent_process.command_line“.
- „sourceProcessCmdArgs“ zu „principal.process.command_line“.
- „sourceProcessMd5“ in „principal.process.file.md5“
- „sourceProcessPid“ zu „principal.process.pid“.
- „sourceProcessSha1“ zu „principal.process.file.sha1“.
- „sourceProcessSha256“ in „principal.process.file.sha256“.
- „sourceProcessPath“ zu „principal.process.file.full_path“.
- „tgtFilePath“ zu „target.file.full_path“.
- „tgtFileHashSha256“ in „target.file.sha256“.
- „tgtFileHashSha1“ zu „target.file.sha1“.
- „tgtProcUid“ zu „target.process.product_specific_process_id“.
- „tgtProcCmdLine“ zu „target.process.command_line“.
- „tgtProcPid“ zu „target.process.pid“.
- „tgtProcName“ in „target.application“.
- „dstIp“ zu „target.ip“.
- „srcIp“ zu „principal.ip“.
- „dstPort“ zu „target.port“.
- „srcPort“ zu „principal.port“.
- „origAgentName“ in „principal.hostname“
- „agentIpV4“ zu „principal.ip“.
- „groupId“ zu „principal.user.group_identifiers“
- „groupName“ in „principal.user.group_display_name“
- „origAgentVersion“ zu „principal.asset.software.version“.
- „origAgentOsFamily“ zu „principal.platform“.
- „origAgentOsName“ in „principal.asset.software.name“.
- „event_type“ in „FILE_MODIFICATION“, wenn „sourceEventType“ = FILEMODIFICATION.
- „event_type“ in „FILE_DELETION“, wenn „sourceEventType“ = FILEDELETION.
- „event_type“ in „PROCESS_LAUNCH“, wenn „sourceEventType“ = „PROCESSCREATION“.
- „event_type“ in „NETWORK_CONNECTION“, wenn „sourceEventType“ = TCPV4.
2022-06-13
- Optimierung
- for [event][type] == "fileCreation" and [event][type] == "fileDeletion"
- „event.targetFile.path“ wurde in „target.file.full_path“ geändert.
- „event.targetFile.hashes.md5“ wurde in „target.process.file.md5“ geändert.
- „event.targetFile.hashes.sha1“ wurde in „target.process.file.sha1“ geändert.
- „event.targetFile.hashes.sha256“ wurde in „target.process.file.sha256“ umgewandelt.
- for [event][type] == "fileModification"
- „event.file.path“ wurde in „target.file.full_path“ umgewandelt.
- „event.file.hashes.md5“ wurde in „target.process.file.md5“ geändert.
- „event.file.hashes.sha1“ wurde in „target.process.file.sha1“ geändert.
- „event.file.hashes.sha256“ wurde in „target.process.file.sha256“ geändert.
2022-04-18
- Der Parser wurde erweitert, um alle nicht geparsten Rohprotokolle zu verarbeiten.